Prima puntata di una serie di articoli dedicati alla sicurezza di Wordpress. Vediamo come cambiare i prefissi delle tabelle del database, tramite un procedimento abbastanza banale che sfrutta phpmyadmin e un semplice editor di testo.
Ultimamente wordpress sta accusando qualche problema di sicurezza di troppo. Le falle di sicurezza e gli aggiornamenti conseguenti sono all’ordine del giorno, e non è raro vedere il proprio blog inaccessibile o sotto attacco.
La maggior parte delle volte il lamer sfrutta degli exploit trovati qua e là in rete. A volte basta una semplice riga nella barra dell’indirizzo, studiata a dovere, per resettare la password del nostro blog o progettare un takeover.
La sicurezza del proprio blog è perciò un aspetto fondamentale, e per raggiungerla non sempre basta tenere aggiornato wordpress all’ultima versione. Sicuramente ci sono alcuni accorgimenti importanti di cui dovremmo tenere conto, che andremo a presentare in questi articoli.
Oggi vedremo un metodo per cambiare il nome delle tabelle del database. Il fatto che queste abbiano un’intestazione standard (che inizia con wp_) rende infatti la vita facile a molti lamers della domenica.
Per cambiare il nome standard delle tabelle di WordPress il procedimento è abbastanza semplice e lo descriverò in seguito. Il procedimento è manuale e vi permette di tenere sotto controllo ciò che state facendo. Evitate almeno per operazioni così semplici di installare un plugin!
Spero tutti conosciate il PHPMYADMIN, ovvero il pannello di gestione del database installato sulla maggior parte dei servizi di hosting. Quando accedete a questo troverete sulla sinistra una lista di tabelle, come in figura.
Se usate WordPress noterete come le tabelle elencate sulla sinistra inizino tutte con l’intestazione wp_.
Questa è un’intestazione standard, creata dall’installazione di WordPress, e rappresenta un’informazione in più che forniamo all’eventuale malitenzionato di turno. Egli saprà infatti localizzare facilmente le tabelle dove sono contenuti i nostri dati. Quando si parla di sicurezza informatica la prudenza non è mai troppa e consigliamo vivamente di cambiare quest’opzione. Capita la maggior parte delle volte (se non il 99% dei casi) infatti che il nostro “aggressore” informatico non abbia nessun interesse al nostro blog in particolare, anzi non ne conosca nemmeno l’esistenza. Però l’indirizzo del nostro sito potrebbe essere inserito in un lungo database in possesso del lamer, che verrà testato continuamente per nuovi exploit, alla ricerca di qualche blog vulnerabile. Essendo queste procedure quasi sempre automatizzate (a meno che non abbiate un blog veramente influente) è importante fare in modo che il nostro sito risulti diverso almeno in quelle caratteristiche che possono essere modificate (come i prefissi delle tabelle), in modo da creare degli ostacoli a queste procedure automatizzate.
Cerchiamo sul nostro phpmyadmin il comando “esporta”.
Ci si aprirà una schermata di opzioni, che dovrà essere configurata come quella in figura seguente:
Clicchiamo su Esegui, e decidiamo in che cartella salvare il file. Questo conterrà tutto il nostro database. E’ importante tenere questo file intatto nel caso in cui commettessimo qualche errore nei passi successivi.
Creiamo perciò una copia di questo file e lavoriamo sulla copia. Possiamo aprire il nostro file con un editor di testo, come Wordpad. Cerchiamo il comando “sostituisci” (in wordpad è selezionabile come CTRL+H) del nostro editor e inseriamo nel campo della parola da cercare “wp_”, e in quella da sostituire il nostro nuovo prefisso, ad esempio “patek1456_” (senza virgolette).
Inoltre inseriamo prima della riga che inizia con CREATE DATABASE due trattini (così commenteremo la riga, che non verrà eseguita).
Torniamo poi al nostro pannello di Phpmyadmin. Prima di eseguire questo passo ASSICURATEVI DI AVER TENUTO ENTRAMBE LE COPIE DEL VOSTRO FILE CREATO PRECEDENTEMENTE.
Cliccata sul nome del database, selezionate tutte le tabelle ed eliminatele. Dopodichè tornate nella pagine principale di PHPMYADMIN e cliccate su “importa”. Importate il file sql da voi modificato. Nel giro di qualche secondo il vostro database dovrebb’essere ripopolato dalle nuove tabelle che hanno il prefisso scelto da voi.
Nella finestra di importazione clicchiamo su sfoglia per scegliere il file da importare nel dostro database, momentaneamente vuoto.
Non ci resta che modificare il file di configurazione di wordpress. Questo si trova nella directory principale di wordpress ed il file wp-config.php.
Apriamolo (per connetterci potremo chiaramente utilizzare un qualsiasi client FTP, come filezilla) e individuiamo la riga $table_prefix = ‘wp_’;
Al posto di wp_ dovremo inserire il prefisso da noi scelto, ad esempio patke1456_. Il gioco è fatto. Verifichiamo che il nostro sito sia tornato funzionante connettendoci ad esso. Alla prossima puntata!
